有线无线统一接入配置
有线无线用户统一接入简介
在实际的使用场景中,有线网络和无线网络环境通常是共同存在的。例如在办公区内PC电脑、打印机等设备通常通过有线方式接入网络,而笔记本、手机终端等移动设备通常是通过无线方式接入网络。通过部署有线无线用户统一接入的网络环境,可以同时为有线用户和无线用户提供网络接入的服务,实现对有线用户和无线用户的统一管理。
配置注意事项
- 本举例使用Portal认证,为保证实际网络的安全性,请根据实际的需求配置合适的安全策略。
隧道转发模式下,管理VLAN和业务VLAN不能配置为同一VLAN。直接转发模式下,管理VLAN和业务VLAN建议也不要配置为同一VLAN。
数据转发方式为直接转发时,建议在直接连接AP的设备接口上配置端口隔离,如果不配置端口隔离,可能会在VLAN内存在不必要的广播报文,或者导致不同AP间的WLAN用户二层互通的问题。
配置管理VLAN和业务VLAN:
-
- 隧道转发模式下,业务报文会封装在CAPWAP数据隧道中进行传输,发送给AC,然后由AC再转发到上层网络或AP,所以只要配置AC与AP间的网络加入管理VLAN,AC与上层网络间的网络加入业务VLAN,就能正常传输业务报文和管理报文。
- 直接转发模式下,业务报文不会进行CAPWAP封装,而是直接转发给上层网络或AP,所以需要配置AC与AP间的网络加入管理VLAN,AP与上层网络间的网络加入业务VLAN,才能正常传输业务报文和管理报文。
配置源接口方式:
-
- V200R006版本中,配置源接口的方式是在WLAN视图下执行命令wlan ac source interface { loopback loopback-number | vlanif vlan-id }
- V200R007和V200R008版本中,配置源接口的方式是在系统视图下执行命令capwap source interface { loopback loopback-number | vlanif vlan-id }
纯组播报文由于协议要求在无线空口没有ACK机制保障,且无线空口链路不稳定,为了纯组播报文能够稳定发送,通常会以低速报文形式发送。如果网络侧有大量异常组播流量涌入,则会造成无线空口拥堵。为了减小大量低速组播报文对无线网络造成的冲击,建议配置组播报文抑制功能。配置前请确认是否有组播业务,如果有,请谨慎配置限速值。
-
- 业务数据转发方式采用直接转发时,建议在直连AP的交换机接口上配置组播报文抑制。
- 业务数据转发方式采用隧道转发时,建议在AC的流量模板下配置组播报文抑制。
组网需求
某医院由于业务要求,需要在其医院大楼内同时部署有线和无线网络。为方便管理维护,管理员希望能够在AC上集中管理有线用户和无线用户,有线用户采取免认证方式,无线用户采用Portal认证方式,并且无线用户能够在AC内漫游。
如图1所示,AC上行连接出口网关Router;下行通过接入交换机S5700-1和S5700-2连接和管理AP,其中,S5700-1部署在一楼,S5700-2部署在二楼。在每个房间内部署AP2010DN为房间内用户同时提供有线接入和无线接入,在楼道中部署AP5030DN提供无线网络覆盖。S5700-1和S5700-2均为PoE交换机,为连接的AP供电。
为使整体网络规划简洁,便于管理,接入交换机只做二层透传,所有网关配置在AC上。
AC作为DHCP服务器为AP、STA和PC分配IP地址。
数据规划
| 表2 网络数据规划表 |
|||
| 项目 |
接口号 |
所属VLAN |
说明 |
| AC |
GE1/0/1 |
100、201 |
连接S5700-1 |
| GE1/0/2 |
100、202 |
连接S5700-2 |
|
| GE1/0/3 |
200 |
连接控制器 |
|
| GE1/0/4 |
300 |
连接出口网关 |
|
| S5700-1 |
GE0/0/1 |
100、201 |
连接AC |
| GE0/0/2 |
100、201 |
连接AP101 |
|
| GE0/0/3 |
100、201 |
连接AP102 |
|
| GE0/0/4 |
100、201 |
连接AP103 |
|
| S5700-2 |
GE0/0/1 |
100、202 |
连接AC |
| GE0/0/2 |
100、202 |
连接AP201 |
|
| GE0/0/3 |
100、202 |
连接AP202 |
|
| GE0/0/4 |
100、202 |
连接AP203 |
|
| AP101、AP102 |
Eth0/0/0 Eth0/0/1 GE0/0/0 |
201 |
GE0/0/0连接S5700-1 Eth0/0/0和Eth0/0/1连接下行有线用户 AP101和AP102为AP2010DN,部署在一楼房间内,同时提供有线和无线接入 |
| AP103 |
- |
- |
AP103为AP5030DN,部署在一楼楼道中,提供无线接入 |
| AP201、AP202 |
Eth0/0/0 Eth0/0/1 GE0/0/0 |
202 |
GE0/0/0连接S5700-2 Eth0/0/0和Eth0/0/1连接下行有线用户 AP201和AP202为AP2010DN,部署在二楼房间内,同时提供有线和无线接入 |
| AP203 |
- |
- |
AP203为AP5030DN,部署在二楼楼道中,提供无线接入 |
| 表3 业务数据规划表 |
||
| 项目 |
数据 |
说明 |
| AC的源接口IP地址 |
10.23.100.1/24 |
- |
| 国家码 |
CN |
- |
| WMM模板 |
名称:wmm |
- |
| 射频模板 |
名称:radio |
- |
| 安全模板 |
|
- |
| 流量模板 |
名称:traffic |
- |
| 服务集 |
|
用于一楼的无线网络覆盖 |
|
用于二楼的无线网络覆盖 |
|
| DHCP服务器 |
AC作为DHCP服务器,为AP、STA和PC分配地址 |
- |
| AP的网关及IP地址池范围 |
VLANIF100:10.23.100.1/24 10.23.100.2~10.23.100.254/24 |
- |
| 无线用户的网关及IP地址池范围 |
VLANIF101:10.23.101.1/24 10.23.101.2~10.23.101.254/24 |
- |
| VLANIF102:10.23.102.1/24 10.23.102.2~10.23.102.254/24 |
- |
|
| 有线用户的网关及IP地址池范围 |
VLANIF201:10.23.201.1/24 10.23.201.2~10.23.201.254/24 |
- |
| VLANIF202:10.23.202.1/24 10.23.202.2~10.23.202.254/24 |
- |
|
| 服务器参数 |
认证服务器:
|
|
| 计费服务器:
|
||
| 授权服务器:
|
||
| Portal服务器:
|
||
| 表4 射频信道数据规划表 |
||
| 项目 |
数据 |
说明 |
| AP101 |
射频0:信道1、功率等级10 |
使用WLAN planner网规工具规划各AP位置及AP射频的工作信道、功率等,配置信道模式和功率模式为固定模式,为每个AP配置各自的信道和功率。 |
| AP102 |
射频0:信道6、功率等级10 |
|
| AP103 |
射频0:信道11、功率等级10 射频1:信道153、功率等级10 |
|
| AP201 |
射频0:信道1、功率等级10 |
|
| AP202 |
射频0:信道6、功率等级10 |
|
| AP203 |
射频0:信道11、功率等级10 射频1:信道157、功率等级10 |
|
配置思路
采用如下的思路配置有线无线用户统一接入示例:
- 配置各网络设备,使AP、接入交换机S5700-1、S5700-2、AC和上层网络设备之间实现网络互通。
- 配置AC作为DHCP服务器,为AP、有线用户和无线用户分配IP地址。
- 配置RADIUS服务器认证、计费和授权模板和Portal认证。
- 配置WLAN基本业务,包括AC系统参数、AC上管理AP和WLAN业务参数。
- 配置VAP并下发配置。
- 验证配置结果,有线用户和无线用户都能够接入Internet。
操作步骤
- 配置各网络设备互通
# 配置交换机S5700-1和S5700-2的接口GE0/0/1~GE0/0/4都加入VLAN100(管理VLAN),S5700-1的接口GE0/0/1~GE0/0/4加入VLAN201(有线业务报文所属VLAN),S5700-2的接口GE0/0/1~GE0/0/4加入VLAN202(有线业务报文所属VLAN),其中直连AP的接口需要配置PVID,并建议直连AP的接口配置端口隔离以减少广播报文。以配置S5700-1为例,S5700-2的配置与S5700-1类似,具体请参考配置文件。
[HUAWEI] sysname S5700-1
[S5700-1] vlan batch 100 201
[S5700-1] interface gigabitethernet 0/0/1
[S5700-1-GigabitEthernet0/0/1] port link-type trunk
[S5700-1-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 201
[S5700-1-GigabitEthernet0/0/1] quit
[S5700-1] interface gigabitethernet 0/0/2
[S5700-1-GigabitEthernet0/0/2] port link-type trunk
[S5700-1-GigabitEthernet0/0/2] port trunk allow-pass vlan 100 201
[S5700-1-GigabitEthernet0/0/2] port trunk pvid vlan 100 //直连AP的接口需要配置PVID
[S5700-1-GigabitEthernet0/0/2] port-isolate enable //配置端口隔离以减少广播报文
[S5700-1-GigabitEthernet0/0/2] quit
[S5700-1] interface gigabitethernet 0/0/3
[S5700-1-GigabitEthernet0/0/3] port link-type trunk
[S5700-1-GigabitEthernet0/0/3] port trunk allow-pass vlan 100 201
[S5700-1-GigabitEthernet0/0/3] port trunk pvid vlan 100
[S5700-1-GigabitEthernet0/0/3] port-isolate enable
[S5700-1-GigabitEthernet0/0/3] quit
[S5700-1] interface gigabitethernet 0/0/4
[S5700-1-GigabitEthernet0/0/4] port link-type trunk
[S5700-1-GigabitEthernet0/0/4] port trunk allow-pass vlan 100 201
[S5700-1-GigabitEthernet0/0/4] port trunk pvid vlan 100
[S5700-1-GigabitEthernet0/0/4] port-isolate enable
[S5700-1-GigabitEthernet0/0/4] quit
# 配置AC连接接入交换机S5700-1的接口GE1/0/1加入VLAN100和VLAN201,连接接入交换机S5700-2的接口GE1/0/2加入VLAN100和VLAN202,连接上层网络的接口GE1/0/4加入VLAN300,连接控制器的接口GE1/0/3加入VLAN200。
[HUAWEI] sysname AC
[AC] vlan batch 100 200 201 202 300
[AC] interface gigabitethernet 1/0/1
[AC-GigabitEthernet1/0/1] port link-type trunk
[AC-GigabitEthernet1/0/1] port trunk allow-pass vlan 100 201
[AC-GigabitEthernet1/0/1] quit
[AC] interface gigabitethernet 1/0/2
[AC-GigabitEthernet1/0/2] port link-type trunk
[AC-GigabitEthernet1/0/2] port trunk allow-pass vlan 100 202
[AC-GigabitEthernet1/0/2] quit
[AC] interface gigabitethernet 1/0/3
[AC-GigabitEthernet1/0/3] port link-type trunk
[AC-GigabitEthernet1/0/3] port trunk allow-pass vlan 200
[AC-GigabitEthernet1/0/3] quit
[AC] interface gigabitethernet 1/0/4
最低0.47元/天 解锁文章
扫一扫
57
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
